Windows Connector 5.0以降から、history.dbを使って、ファイルのアクセス頻度を計算し、Exclusion設定のための情報を得ることが出来ない状態となっております。
前提条件として、Windows Connector 4.x以前の場合に高頻度でアクセスされるファイルを抽出する方法に関しては、以下のドキュメントをご参照ください。
http://www.cisco.com/c/en/us/support/docs/security/advanced-malware-protection-endpoints/118802-technote-fireamp-00.html#anc11
こちらは、以下の不具合による事象となります。
CSCvc16219 5.0.x Connector GUI shows less information in History than previous versions
2018年3月8日追記:こちらの不具合は、Windows Connector 5.1.9にて修正され、Verbose Historyを有効にすることで、以前と同様にhistory.dbからファイルのアクセス頻度が確認できるようになりました。
Verbose HistoryはConsoleの以下より設定が可能です。
Management -> Policies -> Edit Policy -> Advanced Settings -> File And Process Scan ->Verbose History
対応する方法について具体的な方法を2点ほど、紹介させていただきます。以下の方法については、TACサポート対象ではなく、お問い合わせに関してお答え致しかねますので、あくまでユーザ様の自己責任でご確認いただきますようお願いいたします。
まず、CSCの記事に記載されているPythonのツールを使って、historyをCSVに出力することが可能です。
https://supportforums.cisco.com/discussion/13214776/converting-historyexdb-v50
また、DiagnosticsをDebugログ取得設定にしたうえで、sfc.exe.logの中身を精査することによって、ある程度、近い情報を得ることができます。(Defaultの状態では、これらのログは取得ができません。)
例えば、以下のログによって、Cacheへのアクセスを試みていることが確認できますので、それを元にしてファイルへのアクセス数をカウントします。(Cloudへの問い合わせをする前に必ずCacheを確認するため、history.dbと類似の情報が得られます。)
(457318118, +0 ms) Mar 30 11:09:21 [2820]: Cache::Get: (SELECT disposition, strftime("%s", created_at), ttl, engineid, type, filetype, filesize, detection, action, nc, starttime FROM cache where hash="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";)
これらを抽出し、尚且つ、アクセスが発生したHashをカウント、さらに頻出頻度をtop10で表示させるために、以下のコマンドを使います。以下はあくまで一つの例であり、必要な情報に応じて、工夫することが可能です。
cat sfc.exe.log | grep "Cache::Get: (SELECT" | awk '{print substr($0,index($0,"hash="),71)}' | sort | uniq -c | sort -nr | head -10
その結果、以下のように表示されます。
657 hash="aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"
223 hash="bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb"
194 hash="cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc"
156 hash="dddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd"
66 hash="eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee"
41 hash="ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff"
32 hash="gggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggg"
30 hash="hhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh"
29 hash="iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii"
23 hash="jjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj"
あとは、上記のHashのファイルを端末中から探し出し、Exclusionを追加することが可能です。